Konfigurationsbeispiel USG & ZyWALLmisc.nybergh.net/pub/doc/manuals_hardware/zyxel-usg-docs/ZyW_USG-IPSEC... · Objekt AAA Server konfigurieren: AAA Server Typ RADIUS editieren: IP

Konfigurationsbeispiel USG & ZyWALL

11/2007/HAL Copyright by ZyXEL – Änderungen vorbehalten Seite 1/15

ZyXEL OTP (One Time Password) mit IPSec-VPN Die Anleitung beschreibt, wie man den ZyXEL OTP Authentication Radius Server zusammen mit einer ZyWALL oder einer USG-Firewall für die Authentifizierung einer IPSec-VPN-Verbindung verwendet. Als Software-Client wird SafeNet SoftRemote LT oder der ZyXEL IPSec-VPN-Client eingesetzt. ZyXEL OTP-Server Konfiguration Nach der Installation des ZyXEL OTP-Servers haben Sie über den Link http://localhost:8080/asas Zugriff auf die Administrationsseiten:

NAS-Eintrag (Netzwerk-Anschluss-Service, in diesem Falle die USG oder ZyWALL) erstellen.

admin+ESN Master Schlüssel

ZyWALL / USGge1 IP: 192.168.1.1

Zyxel OTP Server 192.168.1.2

IPSec Client



Über das Menü Add/Edit Goups die Gruppe radius erstellen und alle Resourcen erlauben (Allowed):

Im Menü Add User einen Benutzer ssl-user erstellen:

Die Gruppe radius zu den ausgewählten Gruppen hinzufügen (Selected) und die Ressource USG freigeben (Allowed), dann auf Update User klicken:



Schlüssel (Key, z.B. 73100718) für Benutzer ssl-user mit Assign zuweisen:

Über Menü Search A-Keys, den Schlüssel des Benutzers ssl-user editieren:

Bestimmen Sie den OTP Pin (entspricht Password auf USG Login, 4 bis 24 Zeichen alphanumerisch):

Authenex Radius Server neu starten:



ZyXEL USG Konfiguration Objekt AAA Server konfigurieren:

AAA Server Typ RADIUS editieren: IP des ZyXEL OTP-Servers eintragen, Athentication Port auf 1812 festlegen. Key (Passwort für Kommunikation mit Authenex Server) eintragen und Timeout auf 99 festlegen.

Objekt Auth. Method anpassen.

Die default Regel editieren und als zweite Position die Gruppe Radius (group radius) einfügen.



Wizard-Übersicht aufrufen:

VPN SETUP auswählen:

Advanced Optionen auswählen:

Pre-Shared Key eintragen (Schlüssel muss mindestens 8 Zeichen lang sein):



Phase 1: Encryption auf 3DES, Authentication auf SHA1 und Key Group auf DH2 festlegen:

Phase 2: Encryption auf 3DES, Authentication auf SHA1 und Perfect Forward Secrecy auf DH2 festlegen. Als Remote Policy die Adresse 0.0.0.0 / 0.0.0.0 (= dynamisch) eintragen und Nailed-Up deaktivieren.



VPN-Konfiguration mit Save speichern:

VPN-Konfiguration mit Close abschliessen:



Ins Menü Network / Routing wechseln:

WICHTIG (nur bei dynamischer VPN-Definition): Der Wizard erstellt automatisch eine Policy Route für den dynamischen VPN-Tunnel (Route #1, Name von Next-Hop = Name der VPN-Rule). Diese verhindert den Zugriff ins Internet und sollte gelöscht werden:

Über VPN / IPSec VPN kann die VPN-Definition überprüft oder angepasst werden:

Die Einstellungen unter VPN Gateway repräsentieren die Phase 1:

WICHTIG:



Jetzt müssen Sie die Konfiguration von Phase 1 mit Enable Extended Authentication und Server Mode anpassen:

Die Einstellungen unter VPN Connection repräsentieren die Phase 2:

Hier können Sie z.B. die Option Netbios broadcast für File-Sharing Zugriff auf einen Server aktivieren:



ZyWALL Konfiguration

Öffnen Sie das Menü Security > VPN und klicken Sie auf Add Gateway Policy. My Address ist in diesem Falle die WAN-IP der ZyWALL. Der Pre-Shared key (3DES, SHA1 und DH2 für die Key Group). Enable Extended Authentication aktivieren und Server Mode wählen.

Im Menü Security / Authentication Server /RADIUS den Authentication Server aktivieren und die IP-Adresse und das Passwort des Authenex Radius Servers eintragen.



Nach Erstellung der Verbindung erscheint wieder die Übersichtsseite. Klicken Sie auf das Add Network Policy Icon um den zweiten Teil der Verbindung zu konfigurieren.Aktivieren Sie die Active Checkbox und geben der Policy einen Namen. Wenn Allow NetBIOS over TCP/IP through IPSec Tunnel aktiviert ist, können Sie mit \\<rechnername> auf die entfernten Server zugreifen. Algorithm 3DES, SHA1 und DH2 für die PFS.

ZyWALL LAN Seite

Entferntes Netzwerk



ZyXEL VPN Client (TheGreenBow) Konfiguration Führen Sie den Konfigurations-Wizard für einen VPN-Gateway aus:

Externe IP der ZyWALL / USG-Firewall, Preshared-Key und Entferntes Netzwerk eintragen.

Wizard beenden.



X-Auth Popup Option aktivieren (Phase 1 / Mehr)

Mit Tunnel öffnen können Sie den VPN Tunnel testen:

Als Login den Benutzernamen und als Passwort den OTP-PIN + eintragen:

Der Tunnel ist erfolgreich geöffnet:



SafeNet IPSec-VPN-Client Konfiguration

Klicken Sie im «Security Policy Editor» auf «add a new connection» und tragen Sie den Namen der Verbindung ein (z.B. «USG»)]. Geben Sie unter «ID Type», «IP Subnet» das IP-Subnet des lokalen Netzes der USG ein. Aktivieren Sie «Connect using Secure Gateway Tunnel» und geben Sie unter «ID Type» im Feld «IP Address» die öffentliche IP-Adresse (fixe IP-Adresse) der USG ein.

Unter «My Identity», «Select Certificate» auf «None» umstellen und danach auf «Pre-Shared Key» klicken.

Über «Enter Key» könne Sie das Passwort eingeben (mindestens 8-stellig). Dieses muss mit demjenigen der USG übereinstimmen.

Unter «Security Policy» deaktivieren Sie «Enable Replay Detection» und stellen PFS auf DH2 ein.



Jetzt können Sie prüfen, ob die VPN Verbindung funktioniert:

Als Login tragen Sie den Benutzernamen und als Passwort den OTP-PIN + ein:

Wählen Sie im Menü «Authentication (Phase 1)» unter «Proposal 1» als «Athentication Methode» die Option «Pre-Shared Key mit Extended Authen-tication». Prüfen Sie die weiteren Einstellungen: «Encrypt» = «Triple DES», «Hash Alg» = «SHA1», «Key Group» = «DH2». Diese Angaben müssen identisch zur Phase 1 der USG sein.

Um die Konfiguration Ihrer Verbindung mit der VPN Client-Software abzuschliessen, stellen Sie die Phase 2 auf «Encrypt Alg» = «Triple DES» und aktivieren Sie nur «Encapsulation Protocol [ESP]». Diese Angaben müssen wiederum identisch mit der Phase 2 der USG sein.

Documents

Konfigurationsbeispiel USG & ZyWALLmisc.nybergh.net/pub/doc/manuals_hardware/zyxel-usg-docs/ZyW_USG-IPSEC... · Objekt AAA Server konfigurieren: AAA Server Typ RADIUS editieren: IP